 |
|
| Linuxディストリビュータが紐解くセキュアOS
|
第2回:Red Hat Enterprise Linuxセキュリティの概要と特徴
著者:レッドハット 藤田 稜 2005/11/29
|
|
|
| 前のページ 1 2 3 4
|
|
| SELinuxのサポート
|
SELinuxのインストールと設定に関して標準でサポートされるのは以下の項目です。
表2:SELinuxのインストールとサポート
これらのサポートは、Red Hatのサブスクリプション契約をいただいたすべてのお客様に提供されます。
|
| Security Response Center
|
Red Hatでは、全世界のニュースグループやメーリングリスト、ウェブサイト上で脆弱性情報をモニタし、どのパッケージにどのように影響するかを調査します。Red Hatではお客様の業務に与える影響によって脆弱性情報の深刻度を4段階に分類し、分類中最大のもの(Severity 1)であれば、パッケージに関連する開発者にオンラインおよび電話で迅速に連絡し、すでに問題が公開されてしまった場合、エンジニアの管理者に緊急のエスカレーションが割り当てられます。
その後、エンジニアの管理者に問題の内容と担当者が通知されるのとほぼ同時に、品質保証・エラータチーム、セキュリティ広報チーム、パッケージの署名者、RHN管理サポートなどに通知し、リリース準備態勢を確立します。
さらに、アドバイザリ、エラータが作成され、品質チェックが行われるとRed Hat Networkにて公開されます。
|
| セキュリティ対応の実績
|
Red Hatは2000年よりCVE(Common Vulnerabilities and Exposures)を利用してアドバイザリを発行しています。これは、発見された脆弱性に対する認識をRed Hatやオープンソースコミュニティの開発者間で共通化し、対応をより早く行うためです。
以下はRed Hat Enterprise Linux 3がリリースされてから最初の12ヶ月間に発行されたアドバイザリと、その問題を解決するために要した日数の統計です。注目すべきは、深刻な問題に関しては当日の修正が58%を占めているということと、リスクにさらされている期間の中央値はSeverityがLowのものを入れても13日間であるということです。
| Classification |
CVE matches |
Advisory matches |
Median "days of risk" |
% with fixes within a day |
| Critical |
12(7%) |
10(11%) |
0 |
58% |
| Importtant |
50(30%) |
42(44%) |
5 |
44% |
| Moderate |
59(36%) |
27(28%) |
16 |
23% |
| Low |
44(27%) |
16(17%) |
31 |
22% |
| All severities |
165 |
95 |
13 |
32% |
表3:アドバイザリと問題解決の日数
SeverityがLowの問題に関しては、クォータリー・アップデートにまとめてリリースされることがあるため対応までの時間がかかることがあります。
そして最後に、Red Hat Enterprise Linuxの米国内の導入顧客リストにて今回を結ばせていただきます。
| NOAA |
海洋大気局 |
| DOE |
教育省 |
| GSA |
共通役務庁 |
| A.O.U.S.C. |
連邦裁判所管理局 |
| NASA |
航空宇宙局 |
| FAA |
連邦航空局 |
| DHS/FEMA |
国土安全保障局/連邦緊急事態管理庁 |
| DOJ |
司法省 |
| PTO |
特許商標庁 |
| USDA |
農務省 |
| Intelligence Community |
情報機関 |
| U.S. Air Force |
空軍 |
| U.S. Army |
陸軍 |
| U.S. Navy/Marines - CRADA |
海軍 - 共同研究開発協定 |
表4:RHELの顧客リスト
|
前のページ 1 2 3 4
|
|
|
|
|
著者プロフィール
レッドハット株式会社 藤田 稜
レッドハット株式会社 プリセールスエンジニア
ホスト・オフコンのSIer、WebのSIerを経て様々なOSに触れた結果、これからはLinuxだという確信を持ち2005年4月より現職。レッドハットのOEMパートナーやエンドユーザからの導入検討段階での技術的問題の解決、セミナーなどにおけるRed Hat Enterprise Linuxの技術的情報の広報に従事。
|
|
|
|
|
|
